ASA5520防火墙双机配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ASA5520防火墙的安装配置说明
一、通过超级终端连接防火墙。
先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意:该线缆是扁平的,一端是RJ-45接口,要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上.
建立新连接,给连接起个名字。
选择COM口,具体COM1还是COM3应该根据自己接的COM来选择,一般接COM1就可以。
选择9600,回车就可以连接到命令输入行。
二、防火墙提供4种管理访问模式:
1.非特权模式。防火墙开机自检后,就是处于这种模式。系统显示为firewall> 2.特权模式。输入enable进入特权模式,可以改变当前配置。显示为firewall# 3.配置模式。在特权模式下输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为firewall(config)#
4.监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>
三、基本配置步骤
在PC机上用串口通过cisco产品控制线连接防火墙的Console口(9600-N-8-1),使用超级终端连接。
在提示符的后面有一个大于号“>”,你处在asa用户模式。使用en或者enable命令修改权限模式。
asafirewall> en //输入en 或 enable 回车
Password: //若没有密码则直接回车即可
asafirewall# //此时便拥有了管理员模式,此模式下可以显示内容但不能配置,若要配置必须进入到通用模式
asafirewall# config t // 进入到通用模式的命令
asafirewall(config)# hostname sjzpix1 //设置防火墙的名称
Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10
Sjzpix1(config)# enable password zxm10 //设置启动模式口令,用于获得管理员模式访问
1.配置各个网卡
Sjzpix1(config)# interface GigabitEthernet0/0 //配置防火墙的E0 端口Sjzpix1(config-if)# security-level 0 //设置成最低级别
Sjzpix1(config-if)# nameif outside //设置E0 端口为外部端口
Sjzpix1(config-if)# speed auto //设置成自动设置网口速率
Sjzpix1(config-if)# ip address 10.0.1.50 255.255.255.0 standby 10.0.1.51
// 10.0.1.50 为该防火墙分配的公网IP,255.255.255.0为该防火墙公网IP对应的掩码,若该防火墙没有主备用方式则配置命令中的红色字体部分不需要配置。若有主备用防火墙则红色部分必须配置且 10.0.1.51为给备用防火墙分配的公网IP地址
Sjzpix1(config-if)# no shutdown //打开防火墙的E0端口
Sjzpix1(config)# exit //完成E0 端口的配置,返回上一层
//同样的方式来配置防火墙的E1端口,并将E1端口配置为内部端口
Sjzpix1(config)# interface GigabitEthernet0/1 //配置ETH1 即 E1端口
Sjzpix1(config-if)# security-level 100 //设置成最高级别
Sjzpix1(config-if)# nameif inside //设置E1 端口为内部端口
Sjzpix1(config-if)# speed auto //设置成自动设置网口速率
Sjzpix1(config-if)# ip address 192.168.2.10 255.255.255.0 standby 192.168.2.11//设置防火墙E1(内部)端口的IP,其中:192.168.2.10 为分配给该防火墙的内部网络IP地址,255.255.0.0 为防火墙内部IP对应的掩码,若该防火墙没有主备用方式则配置命令中红色字体部分不要配置,若有主备用防火墙则红色部分必须配置且192.168.2.11为备用防火墙的内网IP地址。
Sjzpix1(config-if)# no shutdown //打开E1(内部)端口
Sjzpix1(config)# exit //完成配置,退到上一层
Sjzpix1(config)# interface GigabitEthernet0/3
Sjzpix1(config)# no shutdown //打开防火墙的E3端口
Sjzpix1(config)# exit //完成E3 端口的配置,返回上一层
2.配置failover
主防火墙:
failover //启动failover 功能
failover lan unit primary //设置为主防火墙
failover lan interface HA GigabitEthernet0/3 //定义用于Failover通讯的接口
failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001
failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001
failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001
//分别给四块网卡定义虚拟MAC地址
failover interface ip HA192.168.3.1 255.255.255.0 standby 192.168.3.2